Windows Notepad 红队利用新手法及工具实现<\/h1>

概述<\/h2>
本文详细介绍了Windows自带的Notepad（记事本）程序在红队行动中的新型利用手法，特别是利用Notepad的"记忆"特性实现持久化和其他攻击场景。<\/p>

Notepad的"记忆"特性分析<\/h2>

当用户使用Notepad打开一个大型文件（如200MB的JAR文件）时，Notepad会尝试加载整个文件到内存，导致程序卡死或崩溃。关键特性在于：<\/p>

会话恢复<\/strong>：Notepad会记住上次打开的文件，并在下次启动时尝试重新打开<\/li>
文件删除不影响记忆<\/strong>：即使原始文件被删除，Notepad仍会尝试打开该路径<\/li>

崩溃循环<\/strong>：对于大文件，这会导致Notepad进入启动即崩溃的循环<\/li> <\/ol>
利用场景<\/h2>
1. 持久化后门<\/h3>
通过修改注册表，将恶意脚本设置为Notepad默认打开文件：<\/p>

创建恶意脚本（如PowerShell后门）<\/li>
修改注册表使Notepad记住该文件路径<\/li>
设置Notepad为默认打开方式<\/li> <\/ol>
当用户尝试打开Notepad时，会自动加载恶意脚本。<\/p>
2. 权限维持<\/h3>
在提权后，利用此特性在系统关键位置植入后门：<\/p>

将恶意DLL伪装成文档<\/li>
通过Notepad特性使其记住该DLL路径<\/li>
结合其他技术实现DLL劫持<\/li> <\/ol>
3. 用户骚扰<\/h3>
通过使Notepad不断尝试打开不存在的大文件路径，造成用户体验下降。<\/p>
技术实现<\/h2>
注册表键值分析<\/h3>
Notepad的记忆功能存储在以下注册表位置：<\/p>
HKEY_CURRENT_USER\Software\Microsoft\Notepad <\/code><\/pre> 关键值：<\/p> RememberFile<\/code>：控制是否记住上次打开的文件<\/li> szFile<\/code>：存储上次打开的文件路径<\/li> <\/ul> 手动利用步骤<\/h3> 使用Notepad打开目标文件（如malicious.ps1<\/code>）<\/li> 关闭Notepad（确保路径被记住）<\/li> 验证注册表值是否更新： Get-ItemProperty -Path "HKCU:\Software\Microsoft\Notepad"<\/span> -Name "szFile"<\/span> <\/span><\/span><\/code><\/pre><\/li> 设置Notepad为.ps1文件的默认打开程序（可选）<\/li> <\/ol> 自动化工具实现<\/h3> 可以使用以下PowerShell脚本自动化此过程：<\/p> function<\/span> Set-NotepadPersistence { <\/span><\/span> param<\/span> ( <\/span><\/span> [string]<\/span>$FilePath, <\/span><\/span> [switch]<\/span>$SetAsDefault <\/span><\/span> ) <\/span><\/span> <\/span><\/span> # 确保文件存在<\/span> <\/span><\/span> if<\/span> (-not<\/span> (Test-Path $FilePath)) { <\/span><\/span> New-Item -Path $FilePath -ItemType File -Force | Out-Null <\/span><\/span> } <\/span><\/span> <\/span><\/span> # 通过Notepad打开文件以记录路径<\/span> <\/span><\/span> Start-Process notepad.exe -ArgumentList $FilePath -Wait <\/span><\/span> <\/span><\/span> # 验证注册表是否更新<\/span> <\/span><\/span> $regPath = "HKCU:\Software\Microsoft\Notepad"<\/span> <\/span><\/span> $szFile = (Get-ItemProperty -Path $regPath -Name "szFile"<\/span> -ErrorAction SilentlyContinue).szFile <\/span><\/span> <\/span><\/span> if<\/span> ($szFile -eq<\/span> $FilePath) { <\/span><\/span> Write-Host "[+] Notepad persistence successfully set for $FilePath"<\/span> <\/span><\/span> } else<\/span> { <\/span><\/span> Write-Host "[-] Failed to set Notepad persistence"<\/span> <\/span><\/span> return<\/span> <\/span><\/span> } <\/span><\/span> <\/span><\/span> # 可选：设置为特定扩展名的默认打开程序<\/span> <\/span><\/span> if<\/span> ($SetAsDefault) { <\/span><\/span> $ext = [System.IO.Path]<\/span>::GetExtension($FilePath) <\/span><\/span> if<\/span> ($ext) { <\/span><\/span> cmd \/c "ftype $ext=%SystemRoot%\system32\notepad.exe <\/span>`"<\/span>%1<\/span>`"<\/span>"<\/span> <\/span><\/span> cmd \/c "assoc .$ext=$ext"<\/span> <\/span><\/span> Write-Host "[+] Set Notepad as default for $ext files"<\/span> <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>防御措施<\/h2> 禁用Notepad记忆功能<\/strong>：<\/p> Set-ItemProperty -Path "HKCU:\Software\Microsoft\Notepad"<\/span> -Name "RememberFile"<\/span> -Value 0 <\/span><\/span><\/code><\/pre><\/li> 监控注册表修改<\/strong>：<\/p> 监控HKCU\Software\Microsoft\Notepad<\/code>键的更改<\/li> 特别关注szFile<\/code>值的异常路径<\/li> <\/ul> <\/li> 应用白名单<\/strong>：<\/p> 限制Notepad打开可执行文件或脚本文件<\/li> <\/ul> <\/li> 用户教育<\/strong>：<\/p> 避免使用Notepad打开不可信的大文件<\/li> 注意异常的文件关联<\/li> <\/ul> <\/li> <\/ol> 检测方法<\/h2> 检查Notepad相关注册表项中的可疑文件路径：<\/p> Get-ItemProperty -Path "HKCU:\Software\Microsoft\Notepad"<\/span> -Name "szFile"<\/span> <\/span><\/span><\/code><\/pre><\/li> 查找异常的Notepad进程启动参数：<\/p> Get-WmiObject Win32_Process -Filter "name='notepad.exe'"<\/span> | Select-Object CommandLine <\/span><\/span><\/code><\/pre><\/li> 监控Notepad崩溃日志：<\/p> Get-EventLog -LogName Application -Source "Application Error"<\/span> -Message "*notepad.exe*"<\/span> -After (Get-Date).AddDays(-1) <\/span><\/span><\/code><\/pre><\/li> <\/ol> 总结<\/h2> Notepad的这一特性虽然看似无害，但在红队行动中可被巧妙利用实现持久化和其他攻击目的。蓝队应关注此类非常规的持久化技术，并在防御策略中加入对标准Windows组件异常行为的监控。<\/p>

Windows Notepad 红队利用新手法及工具实现<\/h1>

概述<\/h2> 本文详细介绍了Windows自带的Notepad（记事本）程序在红队行动中的新型利用手法，特别是利用Notepad的"记忆"特性实现持久化和其他攻击场景。<\/p>

利用场景<\/h2>

3. 用户骚扰<\/h3> 通过使Notepad不断尝试打开不存在的大文件路径，造成用户体验下降。<\/p>

技术实现<\/h2>

总结<\/h2> Notepad的这一特性虽然看似无害，但在红队行动中可被巧妙利用实现持久化和其他攻击目的。蓝队应关注此类非常规的持久化技术，并在防御策略中加入对标准Windows组件异常行为的监控。<\/p>

概述<\/h2>
本文详细介绍了Windows自带的Notepad（记事本）程序在红队行动中的新型利用手法，特别是利用Notepad的"记忆"特性实现持久化和其他攻击场景。<\/p>

3. 用户骚扰<\/h3>
通过使Notepad不断尝试打开不存在的大文件路径，造成用户体验下降。<\/p>

总结<\/h2>
Notepad的这一特性虽然看似无害，但在红队行动中可被巧妙利用实现持久化和其他攻击目的。蓝队应关注此类非常规的持久化技术，并在防御策略中加入对标准Windows组件异常行为的监控。<\/p>